web安全问题-cookie
2024-09-04 16:45:05
web安全问题 cookie
1.cookies只能设置过期 不能删除
<script>
now.toGMTString() => 事件可以用来设置cookie
document.cookie("aaa=1,expires=Sun, 07 May 2017 xxxxx")
</script>
2.Cookies-登录用户凭证
- 用户ID
- 用户ID + 签名
3.xss和cookies
- xss可能偷取cookies
- http-only的cookie不会被偷
4.cookies和csrf关系
- csrf利用用户cookie
- 攻击站点无法读写Cookies
- 最好阻止第三方使用Cookies samesite
5.cookies安全案例
- cms系统
- cms使用username作为唯一用户标识
- cms文章作者暴露了username
- 可以使用任意username登录后台
- 某论坛使用asp bbs
- 使用用户ID作为用户标识
- 可伪造任何登录
7.cookies安全策略
- 签名防止篡改
- 私有变换(加密)
- http-only (防止xss)
- secure
最新文章
- iOS开发——UI基础-按钮内边距,图片拉伸
- 作业六—图书管理系统(SPEC)系统性能评估测试
- asp.net mvc JQGrid
- Oracle 时间处理(加减)
- IOS网络编程——第三方类库
- html+css学习总结
- poj 3358 Period of an Infinite Binary Expansion
- Metadata Lock原理1
- [课程相关]homework-04
- ORACLE-修改当前会话的语言环境
- primefaces 带参数的组件
- css-盒模型
- 前端笔记之JavaScript(十二)缓冲公式&检测设备&Data日期
- 用jquery的ajax方法获取return返回值的正确姿势
- nodejs笔记之搭建服务器
- poj3410单调队列(单调栈)
- python shelve模块
- 2017/2/12:springMVC的简单文件上传跟拦截器
- C# byte[]保存成文件
- let和var定义变量的区别